Archivos de etiquetas: 0-Day

Twittean vulnerabilidad 0-Day de Windows

El investigador de seguridad conocido como SandboxEscaper, liberó vía Twitter la prueba de concepto (PoC) de un exploit para una vulnerabilidad, hasta el momento desconocida, que afecta al sistema operativo Microsoft Windows.
SandboxEscaper es el mismo investigador quien previamente liberó exploits para dos vulnerabilidades 0-Day, dejando expuestos a ataques a todos los usuarios de Windows, hasta que Microsoft liberó las correspondientes actualizaciones de seguridad.
Esta nueva vulnerabilidad expuesta consiste en un problema de lectura arbitraria de archivos, la cual podría permitir que un usuario con pocos privilegios (o a un programa mal intencionado) leer el contenido de cualquier archivo (al que no debiese tener acceso a menos de ser Administrador) en un sistema Windows.
Esta vulnerabilidad reside en la función “MsiAdvertiseProduct” la cual es responsable de generar “un script de aviso o aviso de productos para el computador y además habilita al instalador para que escriba en el registro junto con los atajos de información usados para asignar o publicar un producto”.
De acuerdo al investigador, debido a una validación impropia, la función afectada puede ser abusada para instalar forzadamente una copia de cualquier archivo, asignándole privilegios de Sistema y leer su contenido, resultando en una vulnerabilidad de lectura de archivos arbitraria (Arbitrary File Read).
El investigador añadió: “Aún sin un vector de enumeración, estas son malas noticias, debido a que bastante software de documentos (como Office) mantienen archivos en ubicaciones estáticas que contienen la ruta completa y los nombres de archivo de los documentos recientemente abiertos”.
“Además de leer documentos como estos, es posible obtener nombres de archivos de documentos creados por otros usuarios; el sistema de archivos es una telaraña y las referencias a archivos creados por diversos usuarios son posibles de hallar en cualquier parte”
El sitio de Github en el cual fue publicado el exploit fue bajada y la cuenta de este investigador suspendida.
Para evitar la explotación de amenazas avanzadas como esta, recomendamos implementar un sistema de protección contra amenazas avanzadas (Advanced Endpoint Security) como Sophos InterceptX Advanced con EDR.
El Deep Learning hace que Intercept X sea más inteligente, más escalable y que ofrezca un mayor rendimiento que las soluciones de seguridad para endpoints que utilizan únicamente el Machine Learning tradicional o la detección basada en firmas.
Más información acerca de Sophos InterceptX en https://www.makros.cl/sophos

Vulnerabilidad 0-Day en Oracle VirtualBox

Se ha realizado la publicación de un hallazgo de vulnerabilidad del tipo 0-Day que afecta al software VirtualBox de Oracle en sus versiones 5.2.20 o anterior. Esto es efectivo además, cuando la configuración se encuentra como “predeterminada”: tarjeta de red virtual Intel PRO/1000 MT Desktop (82450EM) y en modo NAT.
Esta vulnerabilidad al ser explotada, permitiría a un atacante con provilegios de administrador en un guest, escapar a host ring3 para escalar privilegios a ring0 mediante /dev/vboxdrv

Explotación de vulnerabilidades en Flash mediante Office

Una vulnerabilidad no parchada en Adobe (CVE-2018-4878) permitiría la ejecución de código remoto mediante un objeto flash malintencionado. Este objeto Flash fue descubierto inicialmente en un archivo Excel, por lo que no se descarta que sea utilizado mediante otros adjuntos infectados via spam o phishing.
Se estima que se libere una nueva actualización Adobe en estos dias, mientras se adjunta la información para plataformas de seguridad:
Bloqueos:
hxxp://www[.]1588-2040[.]co[.]kr/conf/product_old.jpghxxp://www[.]1588-2040[.]co[.]kr/design/m/images/image/image.phphxxp://www[.]korea-tax[.]info/main/local.phphxxp://www[.]dylboiler[.]co[.]kr/admincenter/files/board/4/manager.php
Hashes:
fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c
E1546323dc746ed2f7a5c973dcecc79b014b68bdd8a6230239283b4f775f4bbd
Este malware se encuentra cubierto por Sophos Anti Virus, por lo que sus usuarios pueden estar tranquilos al respecto.